Google защищает пользователей Chrome от крипто-хакинга

Google вводит более строгие правила для разработчиков расширений Chrome, шаг должен уменьшить риск криптовалютных взломов и разработки вредоносных программ.

Технологический гигант планирует серию изменений в том, как Chrome обрабатывает расширения, требующих большого числа разрешений, а также ужесточает правила для разработчиков, распространяющих расширения через Интернет-магазин Chrome.

Google пишет в своем блоге:

Крайне важно, чтобы пользователи могли доверять расширениям, которые они устанавливают, чтобы они оставались безопасны, сохраняли конфиденциальность и работали. Пользователи должны всегда иметь полную прозрачность в отношении возможностей установленных расширений и их доступа к данным.

«Начиная с Chrome 70 (в настоящее время, работает в бета-версии) пользователи будут иметь возможность ограничить доступ расширений к пользовательскому списку сайтов и смогут устанавливать политики, чтобы расширения запрашивали разрешения каждый раз, когда им нужно получить доступ к странице», — объясняет компания.

Google добавляет, что расширения, запрашивающие «значимые разрешения», будут подвергаться «дополнительной проверке соответствия», уточняя:

Мы также очень внимательно изучаем расширения, которые используют удаленно размещенный код, с постоянным мониторингом.

Фирма объясняет: «В то время как разрешения хоста позволили использовать тысячи мощных и творческих расширений, они также привели к широкому спектру неправильного использования — как злонамеренного, так и непреднамеренного. Наша цель — повысить прозрачность и контроль со стороны пользователя в тех случаях, когда расширения могут получить доступ к данным».

Google также сообщил, что с 1 октября Chrome Web Store запретил расширения со скрытым или обфускационным кодом. «Существующие расширения с подобными решениями имеют 90 дней, чтобы привести код в соответствие с новыми правилами», — добавляет компания.

Согласно сообщению, более 70% «вредоносных и политически нарушающих расширений», которые Google блокирует в своем интернет-магазине, содержат обфускацию кода. Кроме того, поскольку обфускация «в основном используется для сокрытия функциональности кода», это значительно увеличивает сложность процесса проверки расширений Google.

Google заявляет:

Это больше не приемлемо, вышеупомянутые изменения в процессе рассмотрения.

И в соответствии с окончательно принятыми мерами безопасности, в 2019 году все учетные записи разработчиков расширений должны быть защищены с помощью двухэтапной аутентификации, чтобы снизить риск взлома аккаунта.

В прошлом расширения Chrome использовались кибер-преступниками для обеспечения доступа к ПК жертв. Например, всего месяц назад хакеры загрузили вредоносную версию расширения Mega в интернет-магазин Google. «Люди, которые использовали официальный установщик в течение следующих нескольких часов, скомпрометировали свои учетные записи, — пишет ZDNet, — включая пользователей кошельков MyEtherWallet и MyMonero и децентрализованной биржи IDEX».

Google также был вынужден ввести меры против расширений, которые использовали устройства пользователей для майнинга криптовалюты без их ведома. В апреле веб-магазин компании заблокировал все расширения, которые майнят криптовалюты.